Windows Vista. Для профессионалов

В операционной системе Windows Vista запись сведений в стандартные журналы (а также в журналы раздела Журналы приложений и служб) основана на каналах. Каждый журнал имеет свой собственный канал, название которого отображается в поле Канал окна Свойства журнала. Например, для журнала Пересланные события канал также называется Пересланные события. Сведения о настройках каналов хранятся в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\WINEVT\Channels. Каждый канал имеет свой собственный подраздел в данной ветви реестра , название которого соответствует названию канала. Все каналы операционной системы имеют одни и те же параметры реестра , влияющие на их работу. Вот некоторые из них.

• Enabled – этот параметр REG_DWORD-типа определяет, разрешено ли заносить записи в журнал, который использует данный канал. Значение данного параметра может изменяться с помощью флажка Включить ведение журнала окна Свойства журнала. Однако с помощью данного окна это можно сделать не для всех журналов. Например, для журнала Пересланные события данный флажок изменять нельзя, хотя можно отключить канал Пересланные события непосредственно с помощью параметра Enabled.

• BufferSize – параметр имеет REG_DWORD-тип и определяет размер буфера, используемого каналом.

• File – этот параметр строкового типа определяет путь к файлу, который используется журналом, основанным на данном канале. Значение данного параметра отображается в поле Путь журнала окна Свойства журнала.

• MinBuffers – параметр имеет REG_DWORD-тип и определяет минимальное количество буферов, используемых каналом.

• MaxBuffers – этот параметр REG_DWORD-типа определяет максимальное количество буферов, используемых каналом.

• MaxSize – имеет REG_DWORD-тип и определяет максимальный размер журнала (в байтах), использующего данный канал. Значение этого параметра также можно изменить с помощью поля Макс, размер журнала (КБ) окна Свойства журнала.

• AutoBackupLogFiles – этот параметр REG_DWORD-типа определяет, будет ли автоматически архивироваться журнал, созданный на основе данного канала, перед удалением или перезаписью (когда журнал достиг максимального размера). Значение данного параметра равно 1, если переключатель При достижении максимального размера окна Свойства журнала установлен в положение Архивировать заполненный журнал, не переписывая события.

• ChannelAccess – имеет строковый тип и определяет права доступа к каналу и, соответственно, к журналу, использующему этот канал.

• Retention – этот параметр REG_DWORD-типа определяет интервал времени (в часах), по истечении которого операционная система будет очищать содержимое журнала, основанного на данном канале. Значение данного параметра равно 0, если переключатель При достижении максимального размера окна Свойства журнала установлен в положение Переписывать события при необходимости. В остальных случаях значение данного параметра равно 0xf f f f f f f f.

• Type – параметр имеет REG_DWORD-тип и определяет, будет ли отображаться журнал в оснастке eventvwr.msc. Если значение данного параметра равно 1, то журнал отображается. Если же значение данного параметра равно 2 или 3, то журнал в оснастке eventvwr. msс отображаться не будет, так как он используется для других целей. Например, таким способом скрыты журналы ADSI/ Debug, Alt-Tab/Diagnostic и т. д.

Однако в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\Windows\ CurrentVersion\WINEVT\Channels содержатся сведения не обо всех каналах. Сведения о стандартных каналах (и стандартных журналах, которые их используют) хранятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ services\eventlog. В операционной системе Windows Vista к стандартным каналам относятся следующие: Приложение, События оборудования, Internet Explorer, Media Center, Безопасность и Система. Каждый из этих каналов имеет одноименный подраздел в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ s ervi се s\ event log. Эти подразделы могут хранить те же параметры, что и подразделы ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Miегоsoft\Windows\ CurrentVersion\WINEVT\Channels. Однако подразделы Application, Security и System также могут содержать следующие дополнительные параметры.

• DisplayNameFile – этот параметр строкового типа определяет путь к библиотеке, в которой хранится название журнала. Однако вместо библиотеки в нем можно указать само название журнала.

• DisplayNamelD – параметр имеет REG_DWORD-тип и определяет смещение в библиотеке, по которому хранится название журнала. Если в параметре

DisplayNameFile указано непосредственно название журнала, то этот параметр использовать необязательно.

• PrimaryModule – этот параметр строкового типа определяет название основного модуля операционной системы, который управляет работой данного стандартного журнала.

• RestrictGuestAccess – если значение данного параметра REG_DWORD-типа равно 1, то пользователь Гость не сможет получить доступ к содержимому данного журнала.

Подразделы Application, Security и System включают в себя вложенные подразделы, определяющие службы и программы, которые могут заносить записи в соответствующий журнал. Например, вы можете удалить некоторые из вложенных подразделов, чтобы записи от программ, которые описываются подразделами, не заносились в журнал.

Для примера попробуем создать свой собственный журнал, который будет отображаться в подразделе Журналы приложений и служб оснастки eventvwr.msc. Он будет называться Disk и содержать сведения о проверке жесткого диска, а также о квотах. В листинге 5.1 представлен пример REG-файла, который создает соответствующий журнал. После импортирования приведенного в листинге REG-файла сведения о проверке жесткого диска и изменении квот будут заноситься сразу в два журнала – Disk и Приложение. Если же нужно, чтобы сведения не заносились в журнал Приложение, то подразделы Chkdsk и DiskQuota нужно удалить из ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\ Application.